Cloudmark kündigt überraschend DANE/TLSA für Mail-Sicherheit an
[ad_1]
Der überraschende Schritt des Internet-Schwergewichts erscheint bedeutsam, weil er die Mail-Sicherheitstechnik stärkt und zugleich als eine deutliche Absage an das Konzept der Certification Authorities gelesen werden kann.
Andrew Conway, Lead Software Engineer bei Cloudmark, hat in seinem Blog-Beitrag über DANE and E-Mail Security angekündigt, dass die kommende Version 5.2 der Cloudmark Security Platform for Email die auf DNSSEC gründende Sicherheitstechnik DANE/TLSA nutzen wird.
Cloudmark, das nach eigenen Angaben mehr als 10 Prozent des E-Mail-Verkehrs weltweit mit mehr als 450 Millionen Mailboxen abwickelt, gehört zu den Internet-Schwergewichten. Der Schritt, DANE/TLSA zu verwenden, kommt unerwartet aber nicht überraschend. Conway begründet die Entscheidung ausdrücklich mit dem Verweis auf niederländische und deutsche Sicherheitsstandards. In den Niederlanden ist der Einsatz der DANE-Technik für Behörden verpflichtend. Und in Deutschland legt die BSI-Richtlinie TR-03108 “sicherer E-Mail-Transport”, mit Chiffren, Methoden und auch der DANE/TLSA-Technik Kriterien für eine BSI-Zertifizierung fest. Ende 2016 hatte das Berliner Unternehmen Posteo die zugehörigen Prüfungen als erster Mail-Provider bestanden.
DANE gegen MITM-Attacken
Bemerkenswert in Conways Argumentation für den DANE/TLSA-Einsatz ist sein konkreter Verweis auf die Gefährdung des TLS-verschlüsselten Verkehrs durch “compromised or malicious CA enabling MITM attacks”. Die CAs (Certification Authorities) sehen ihr Geschäftsmodell durch DANE in Frage gestellt, weil es CAs zumindest in Teilen überflüssig macht – DANE/TLSA funktioniert prima auch mit selbstsignierten Zertifikaten, die man mit wenig Kenntnissen selbst erzeugen kann.
In den Standardisierungsgremien und auch auf Fachkonferenzen, in denen der Umgangston beim Thema Sicherheit oft schmerzhaft direkt wird, argumentierten DANE-Unterstützer bisher zurückhaltend gegen systemimmanente und organisatorische Probleme bei CAs. Conways Äußerung lassen vermuten, dass sich Cloudmark denen angeschlossen hat, die offen Kritik am bisherigen CA-Konzept üben, und neue Wege gehen wollen, um Sicherheit und Privatsphäre ihrer Nutzer zu schützen.
Bei Einsatz der DANE/TLSA-Technik identifiziert der SMTP-Client den SMTP-Server anhand des TLS-Zertifikats und einer dazugehörigen Prüfsumme in einer DNSSEC-signierten Domain und nicht anhand von beispielsweise Root-Zertifikaten. Das TLS-Zertifikat kann ein Mail-Betreiber selbst erstellen. Die Zuordnung zwischen TLS-Zertifikat und Domain übernimmt der Verwalter der jeweiligen Domain.
Der Sicherheitsgewinn entsteht dadurch, dass TLS-Zertifikate und ihre Prüfsumme für jedes Zertifikat individuell sind und ausschließlich von der zugehörigen Mail-Domain bezogen werden können; dabei werden die in der DNS-Zone abgelegten Daten per DNSSEC vor Manipulationen geschützt. Beim CA-basierten Konzept kann hingegen im Prinzip jede CA der Welt Zertifikate für beliebige Domains herausgeben. Angreifer nutzen das aus. Sie brechen in CAs ein und stellen sich selbst gültige Zertifikate aus. (dz)
[ad_2]
Read more on: Source